DB36-T 1540-2021 電子政務共享數(shù)據(jù)統(tǒng)一交換平臺安全接入技術規(guī)范

35.070CCS L

06

DB36江 西 省 地 方 標 準DB36/T

電子政務共享數(shù)據(jù)統(tǒng)一交換平臺安全接入技術規(guī)范Security

access

of

data

2021-12-31

發(fā)布 2022-06-01

實施江西省市場監(jiān)督管理局 發(fā)

布DB36/T

1540—2021 前言

................................................................................

II1

范圍

..............................................................................

12

規(guī)范性引用文件

....................................................................

13

術語和定義

........................................................................

14

總體要求

..........................................................................

25

接入概述

..........................................................................

36

安全保障

..........................................................................

37

終端要求

..........................................................................

58

賬戶管理

..........................................................................

59

故障報修

..........................................................................

6IDB36/T

1540—2021 本文件按照GB/T

草。請注意本文件的某些內容可能涉及專利，本文件的發(fā)布機構不承擔識別這些專利的責任。本文件由江西省發(fā)展和改革委員會提出并歸口。本文件起草單位：江西省信息中心。本文件起草人：杜軍龍、曹成立、何黎明、周劍濤、龍映輝、文劍、熊良、張靜、張茜、邵海春、涂旭青、章維德、王演、袁小樂、占曉華。IIDB36/T

1540—20211

范圍本文件規(guī)范了江西省電子政務共享數(shù)據(jù)統(tǒng)一交換平臺安全接入的總體要求、接入概述、安全保障、終端要求、賬戶管理、故障報修等內容。系統(tǒng)安全接入交換平臺的基本流程。2

規(guī)范性引用文件件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T

21063.6 政務信息資源目錄體系

第6部分：技術管理要求；GB/T

22239

網(wǎng)絡安全等級保護基本要求；DB36/T

1124 政務信息資源目錄編制規(guī)范；DB36/T

1179 政務數(shù)據(jù)共享技術規(guī)范。3

術語和定義下列術語和定義適用于本文件。3.1電子政務外網(wǎng)

extranet其經(jīng)濟調節(jié)、市場監(jiān)管、社會管理和公共服務等方面需要的政務公用網(wǎng)絡。電子政務外網(wǎng)支持跨地區(qū)、邏輯隔離。3.2江西省電子政務共享數(shù)據(jù)統(tǒng)一交換平臺

Unified

exchange

platform

of

e-government

shared

in

Jiangxi

現(xiàn)了跨部門、跨區(qū)域、跨層級的電子政務數(shù)據(jù)共享交換支撐平臺，具體可通過DB36/T

1179中的技術管理要求定義相關功能。3.3政務信息資源

information

resources息資源。3.4政務信息資源目錄

of

government

information

resources1DB36/T

1540—2021于控制和管理信息資源。3.5前置節(jié)點

Front

息資源的共享交換。3.6資源目錄分類

catalog

classification按照GB/T

1124中的資源目錄分類和管理，規(guī)范和指導政務信息資源目錄的編制。3.7政務共享類型

sharing

type部門共享使用的政務信息資源屬于無條件共享類;可提供給相關政務部門共享使用或僅能夠部分提供給所有政務部門共享使用的政務信息資源屬于有條件共享類;不宜提供給其他政務部門共享使用的政務信息資源屬于不予共享類。3.8資源提供方

provider通過江西省電子政務共享數(shù)據(jù)統(tǒng)一交換平臺政務共享門戶提供政務信息資源的全省各級政務部門，負責本部門信息資源的規(guī)劃、注冊、審核、發(fā)布以及對資源需求方訂單的審核。3.9資源需求方

demander通過江西省電子政務共享數(shù)據(jù)統(tǒng)一交換平臺數(shù)據(jù)共享門戶訂閱并獲取政務信息資源的全省各級政務部門。3.10用戶單位

User

unit使用江西省電子政務共享數(shù)據(jù)統(tǒng)一交換平臺的全省各級政務部門。3.11運維單位

Operation

and

maintenance

unit江西省電子政務共享數(shù)據(jù)統(tǒng)一交換平臺運營及維護單位。4

總體要求4.1

管理劃分全省統(tǒng)一的交換平臺的管理結構由省、市二級交換平臺組成，主要包含內容如下：信息資源目錄信息以及市級共享平臺接入的政務信息資源目錄信息；原則上不另行建設交換平臺，采取接入市級平臺的方式進行共享。2DB36/T

1540—20214.2

接入鏈路接入全省電子政務共享數(shù)據(jù)統(tǒng)一交換平臺需接入電子政務外網(wǎng)區(qū)的專用鏈路且符合相關的技術條件，保障全省各級政務部門電子政務外網(wǎng)區(qū)的安全穩(wěn)定運行。4.3

管理單位技術要求。5

接入概述5.1

接入部門經(jīng)允許任何單位和個人不得接入交換平臺。5.2

接入申請換平臺。5.3

同級接入轄縣（市、區(qū)）政務部門接入市級交換平臺。5.4

接入流程接入交換平臺的步驟如下：1)用戶單位向本級交換平臺管理單位提出接入、變更和注銷申請，并填寫交換平臺接入申請表；2)本級交換平臺管理單位對用戶單位的申請進行審核；位說明拒接理由。對注銷申請平臺業(yè)務，按操作流程注銷該用戶單位的交換平臺業(yè)務。6

安全保障6.1

安全保障措施6.1.1

交換安全措施交換平臺支持庫表數(shù)據(jù)、文件數(shù)據(jù)的交換以及服務接口數(shù)據(jù)交換，主要提供以下安全措施：傳輸加密措施；均衡配置，保障數(shù)據(jù)交換及服務調用的正常運行；3)實時監(jiān)控數(shù)據(jù)交換通道、服務接口的運行情況，出現(xiàn)問題及時告警；況等信息，以支持防抵賴；5)服務代理應支持

HTTPS

協(xié)議。6.1.2

存儲安全措施交換平臺主要存儲目錄數(shù)據(jù)和資源提供方授權平臺存儲的數(shù)據(jù)，分別歸集到目錄系統(tǒng)和資源中心，在數(shù)據(jù)存儲和處理過程中應提供但不限于以下安全保障措施：3DB36/T

1540—2021對登錄用戶進行身份標識和鑒別，登錄控制機制要保證任何應用不能繞過登錄模塊而直接訪問系統(tǒng)；2)對歸集的數(shù)據(jù)進行完整性校驗、安全性檢查；3)對數(shù)據(jù)操作按照最小授權原則進行權限控制；4)監(jiān)控數(shù)據(jù)操作整體流程，提供數(shù)據(jù)使用過程、系統(tǒng)日志的審計。6.1.3

數(shù)據(jù)安全措施標記，采取不同強度的控制措施：1)數(shù)據(jù)資源分類分級存儲，對存儲區(qū)域隔離防護，對敏感和重要數(shù)據(jù)應采用國密算法加密保護；2)對數(shù)據(jù)定期進行備份，對敏感和重要數(shù)據(jù)采取異地備份方式備份，并定期進行數(shù)據(jù)恢復演練；3)對數(shù)據(jù)進行安全監(jiān)控與分析，及時發(fā)現(xiàn)數(shù)據(jù)安全風險；4)原則上資源提供方需對敏感數(shù)據(jù)進行脫敏處理。6.1.4

發(fā)布安全措施政務信息資源對外發(fā)布應提供但不限于以下安全保障措施:1)對資源需求方進行授權和身份驗證；2)建立統(tǒng)一的用戶管理機制；3)對涉及隱私的數(shù)據(jù)脫敏后發(fā)布；4)發(fā)布平臺應針對SQL攻擊、網(wǎng)頁爬蟲工具、網(wǎng)頁篡改等提供對應的安全防護措施；5)提供審計功能，記錄數(shù)據(jù)發(fā)布行為和用戶訪問行為。6.1.5

運維安全措施在運維管理方面應提供但不限于以下安全保障措施:1)明確安全管理人員、崗位及職責，防止特權用戶；2)禁止在開發(fā)、測試、分析過程中直接操縱原始數(shù)據(jù)，嚴格按照權限使用脫敏數(shù)據(jù)；3)禁止直接實施系統(tǒng)配置或變更，應在獲得授權并進行測試后實施；4)使用統(tǒng)一分配的終端，必要時安裝數(shù)據(jù)防泄漏軟件；5)采用第三方服務時應簽訂保密協(xié)議，并建立安全事件預警、通報和應急響應機制。6.1.6

防護安全措施在數(shù)據(jù)缺失和泄密防護方面應采取但不限于以下措施:1)明確資源提供方、交換平臺管理單位對信息內容的保密審查責任；2)開展網(wǎng)絡泄密竊密監(jiān)測，并為主管部門開展監(jiān)測提供必要的接口；3)交換平臺接入終端應當標注“禁止處理涉密信息”的標志。6.1.7

其他安全措施統(tǒng)完整性有關的特定的安全脆弱性，分析其存在的缺陷和漏洞，提出補救措施；

等級保護測評，依據(jù)測評報告制定整改措施并組織落實；3)應用國產(chǎn)商用密碼技術來保證數(shù)據(jù)的機密性和實體身份的真實性。6.2

資源安全要求6.2.1

資源提供安全要求

當通過終端上傳或下載信息時，應滿足但不限于以下安全要求:1)使用固定的終端，加強登記管理；4DB36/T

1540—2021碼組合須包含英文字母大小寫、數(shù)字、特殊字符任意兩種以上；3)終端安裝數(shù)據(jù)防泄漏軟件；4)終端安裝防病毒軟件。

當通過服務接口方式提供數(shù)據(jù)服務時，應滿足但不限于以下安全要求：1)對涉及隱私保護、重要敏感數(shù)據(jù)的共享，優(yōu)先采用服務接口方式；2)通過服務接口參數(shù)設置等方式實現(xiàn)來源識別、訪問控制等功能；3)在邊界設置訪問策略；4)對重要業(yè)務數(shù)據(jù)采取基于國密算法的安全保障措施；5)服務接口應支持HTTPS協(xié)議。

當通過前置交換方式交換數(shù)據(jù)庫表和文件數(shù)據(jù)時，應滿足但不限于以下安全要求:1)保證數(shù)據(jù)內容的真實性；2)對數(shù)據(jù)分類分級，明確共享范圍，指定數(shù)據(jù)接收方；3)對重要數(shù)據(jù)采用基于國密算法的安全保障措施；4)原則上資源提供方需對敏感數(shù)據(jù)進行脫敏處理。6.2.2

資源使用安全要求按照共享范圍和方式使用數(shù)據(jù)，并妥善保管。

終端要求當通過終端上傳或下載信息時應滿足但不限于以下安全要求:1)使用固定的終端，加強登記管理；碼組合須包含英文字母大小寫、數(shù)字、特殊字符任意兩種以上；3)終端安裝數(shù)據(jù)防泄漏軟件；4)終端安裝防病毒軟件。

對所獲得的共享數(shù)據(jù)進行存儲和處理的過程中，應滿足但不限于以下安全要求:1)對數(shù)據(jù)操作按照最小授權原則進行權限控制；2)監(jiān)控數(shù)據(jù)操作整體流程，提供審計功能；3)數(shù)據(jù)資源分類分級存儲，對存儲區(qū)域隔離防護，對重要數(shù)據(jù)采用基于國密算法的安全保障措施，對敏感數(shù)據(jù)進行脫敏處理；4)存儲和處理共享數(shù)據(jù)的信息系統(tǒng)，應按照國家等級保護要求進行管理；備安全審計。7

終端要求毒庫，并定期對終端進行安全掃描。8

賬戶管理8.1

賬戶管理5DB36/T